Cuidado com Lemon Duck - um minerador de criptografia que pode usar senhas de força bruta

No final de outubro de 2020, pesquisadores de segurança emitiram um alerta sobre o botnet Lemon Duck. O botnet de mineração de criptomoedas está registrando um pico significativo de atividade e tornando os bots criptomoeda relevantes mais uma vez.

O botnet Lemon Duck foi descrito como uma das redes de bot "mais complexas" focadas na cripto-mineração. O consenso é que existe desde pelo menos o final de 2018, mas tem havido um aumento visível nas solicitações que apontam para os servidores de comando e controle da Lemon Duck, a partir de agosto de 2020. O aumento na atividade está relacionado a ataques que foram principalmente focados em Territórios asiáticos.

A nova pesquisa sobre o aumento de atividade do Lemon Duck se origina da Cisco Talos, que notou sinais incomuns já em março de 2020.

Lemon Duck tem um número impressionante de vetores de infecção - uma dúzia foi descoberta até agora. Eles cobrem uma variedade de abordagens, desde a área de trabalho remota até a exploração de uma vulnerabilidade específica do Windows, a anexos maliciosos em e-mails , a força bruta de senhas e até mesmo a exploração de uma plataforma de agendamento específica do Linux.

Como funciona o pato com limão

Lemon Duck primeiro baixa e executa um script do PowerShell que desativa as proteções em tempo real do Windows Defender e, em seguida, exclui o processo do PowerShell da lista de verificação. Em seguida, o script do PowerShell verifica se o processo do PowerShell é executado com privilégios de administrador. Se for esse o caso, a carga útil é baixada e executada no sistema.

O botnet verifica o sistema e verifica o fabricante e o modelo específico da placa gráfica instalada. Se nenhuma GPU discreta for detectada, a carga útil baixa um script de mineração separado que é executado na CPU do sistema. Lemon Duck também inclui incríveis 10.000 linhas de código dedicadas apenas ao módulo que se encarrega de espalhar o botnet.

O módulo de propagação do botnet também possui um componente de e-mail. Isso usa e-mails com linhas de assunto principalmente relacionadas ao Covid-19 ou outras frases chocantes, com o objetivo de assustar o usuário e faze-lo abrir seus anexos que contêm arquivos maliciosos.

O Lemon Duck tem sido usado em campanhas que visam todos os tipos de dispositivos conectados à Internet, como TVs inteligentes, impressoras e até mesmo veículos com sistema de piloto automático que dependem de componentes executados no Windows 7.